本文将在 .Net 反射脱壳机核心源代码 的基础上介绍,如何实现 Jit层脱壳 机。
首先我们选择使用 C++/CLI 来完成这个工作。反射部分需要用到 。Net的相关类库,jit 层 hook 需要使用native c++ 方面的功能。
本文假设您已经完成了 hook jit的工作,并截获到了相关结构体。
首先介绍一下代码主要流程:
入口函数
void DumpAssembly(Assembly ass,string path)
枚举所有type,调用
void DumpType(Type tp, BinaryWriter sw)
枚举所有方法,调用
void DumpMethod(MethodBase mb, BinaryWriter sw)
和反射脱壳机不一样的地方就是 最后这个函数 DumpMethod 其它的都基本上一样。
先看反射脱壳的实现:
void DumpMethod(MethodBase mb, BinaryWriter sw)
{
MethodBody mbd = mb.GetMethodBody();
if (mbd == null)
return;
SetOffset(sw, mb.MetadataToken);
WriteHeader(sw, mbd);
WriteILCode(sw, mbd);
WriteSEH(sw, mbd);
}
从上可以看出,dump一个method需要知道4个东西,token,方法头,ILCode,SEH。
jit层脱壳,这个怎么实现呢?
DumpMethod函数只需要 invoke方法,让其进入jit处理过程即可。
这里需要注意一点:
方法是private的,外界无法访问,怎么办?
这里我需要用到 net 2.0的又一个新特性:DynamicMethod 。
看msdn的介绍:
"可以使用 DynamicMethod 类在运行时生成和执行方法,而不必生成动态程序集和动态类型来包含该方法。动态方法是生成和执行少量代码的最有效方式。
动态方法在逻辑上与模块或类型关联。如果与模块关联,动态方法对于该模块在全局范围内有效。如果有足够的权限,动态方法可以跳过实时 (JIT) 可见性检查,访问在该模块中所声明类型的私有数据。可以将动态方法与任何模块关联,无论该模块是否由您创建。
如果动态方法与类型关联,动态方法可以访问该类型的私有成员。除非动态方法需要访问在同一模块中声明的其他类型的私有数据,否则无需跳过 JIT 可见性检查。可以将动态方法与任何类型关联。
"
动态方法可以跳过 jit 可见性检查。这是我们最关心的。通过它我们解决的private方法的问题。
和反射脱壳相比,jit层脱壳真正的DumpMethod 应该是在 hook处理函数中。
即在 hook 到一个jit请求后,回调真正的 DumpMethod 实现来完成 一个方法体的脱壳。
问题:怎么知道当前jit处理的是哪个方法体呢?
"
| MethodBase.GetMethodFromHandle (RuntimeMethodHandle) | 通过使用方法的内部元数据表示形式(句柄)获取方法信息。 |
"
这个函数可以解决这个问题。
传入的参数,就是我们在 jit hook中截获的 MethodDesc* 的指针变量。这个结构体在sscli里面是没有其明确资料的。但是它可以通过这个函数转换为 。Net中的 Method对象。
这样前面提到的dump一个方法体需要的 4个东西,这里就知道了两个了, token 和 ILCode(jit hook直接取得的)。
如果是tiny method。方法体也可以重构出来了。之前介绍反射重构的帖子中又详细介绍。
如果是fat method呢?
有两个难点:
1。方法头 中的localsig 的token。 2。SeH 的重构。
完全从jit hook到的结构体中重构需要费一番周折,有可能会和壳的实现相关。
对于有些加密壳,可以通过投机的方式取得这两个东西。(因目前国内某壳也受此影响,在其新版改进之前,暂不公开这个方式)
单纯jit层的加密壳可以从这两点,增加脱壳的难度。
DNGuard 标准版对这两部分做了特许处理。
标准版预计在一个星期内完成。演示版RC1已经基本完成,近两天就会发布。
DNGuard 专业版,除了对这两个的处理,对ILCode也进行了处理,标准版发布后,
需要再花时间对 专业版 IL模拟部分 进行一次全面的检测。